我們要做的目的是 linux可以用域用戶進行登錄
對於有些公司來說,運維人員眾多,但是每個人都有管理的權限,要是有人有誤操作,但是那兔崽子又不承認錯誤的話,我們可以調取出日志來,察看下每個人的history。 為了防止擦處記錄,我們可以在 .bashrc 裡面寫個腳本,沒幾秒鐘會tar一下操作的記錄,並且會傳到一個只能傳,不能刪除的空間裡。
www.2cto.com
要是有人就是特意的想高破壞的話,會第一時間關掉這個收集數據的腳本,我們可以做個監控,比如用zabbix去客戶端那裡拉數據,看看進程還在不在。。就這些了~
安裝pam模塊
yum -y install pam-devel
wget ftp://ftp.freeradius.org/pub/radius/pam_radius-1.3.17.tar.gz
tar zxvf pam_radius-1.3.17.tar.gz
cd pam_radius-1.3.17
make
cp pam_radius_auth.so /lib/security/
mkdir /etc/raddb
cp pam_radius_auth.conf /etc/raddb/server
vi /etc/raddb/server
127.0.0.1 1231231
vi /etc/pam.d/sshd
#%PAM-1.0
auth sufficient /lib/security/pam_radius_auth.so debug client_id=linux
auth sufficient pam_stack.so service=system-auth
auth required pam_nologin.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
session required pam_loginuid.so
/etc/init.d/sshd restart //重啟ssh服務。
然後在windows 操作了
【其實就是創建 radius客戶端,訪問的策略,請求的策略】
我用紅色的框框標識出來的,大家要注意哈~
www.2cto.com
最後一步是~ 域裡面的用戶名在linux服務器也要有的,但是不要有密碼。。。